編集部
2025年、サプライチェーンセキュリティは新たな局面を迎えます。経済産業省は企業のサイバー攻撃対応力を5段階で格付けする新制度を発表し、取引先選定の基準としても重視されるようになる見込みです。
DarktraceやCrowdStrikeといった企業は、AIを駆使した高度な脅威検知技術を提供し、これまで以上に巧妙化するサイバー攻撃に対応しています。ゼロトラストセキュリティの導入が急務となる中、企業は自社防衛の再構築を迫られています。最新の技術動向と法規制を踏まえた、今日本企業が取るべきセキュリティ戦略とは?具体的な事例とともに、2025年のサプライチェーンを守るための鍵を解説します。
経産省の新制度:5段階格付けがサプライチェーンを変革する
経済産業省は2025年度に、企業のサイバー攻撃対応力を5段階で格付けする制度を導入する方針を発表しました。この新制度は、企業が行うセキュリティ対策の質を可視化し、取引先やビジネスパートナーの選定において重要な指標となることを目指しています。特に、サプライチェーンに関わる企業には、レベル3以上の対応力が求められ、レベル5は重要インフラを担う企業が達成すべき基準とされています。
レベル1から3では、ソフトウェアの定期更新や機密情報の適切な管理体制といった基礎的なセキュリティ対策が求められます。一方で、レベル4と5になると、サイバー攻撃の早期復旧体制や攻撃情報の共有が義務付けられ、第三者機関による認証が必要です。この格付けによって、セキュリティ対策の不備がビジネス機会の損失につながる可能性があり、企業にとってはセキュリティ投資の必要性がより一層高まります。
さらに、経産省の「第8回 産業サイバーセキュリティ研究会 事務局説明資料」によれば、レベル3はサプライチェーン形成企業としての最低基準を示し、レベル4は標準的な基準とされています。これにより、特に中小企業においてもセキュリティ対策の底上げが求められ、取引先や顧客からの信頼性を確保するための指針となります。
企業にとって、この格付け制度への対応は単なるセキュリティ対策の強化を超えて、ビジネス戦略の一環として捉えるべき課題です。信頼性のあるセキュリティ対応が取引先からの評価を左右し、格付けの高い企業は商談や入札において優位に立つことができるでしょう。
AIとセキュリティソリューションの融合:DarktraceとCrowdStrikeの事例
2025年に向けて、サイバー攻撃はAIを活用した高度な手法が増加しています。これに対抗するため、企業はAI駆動型のセキュリティソリューションを導入し、リアルタイムでの脅威検知とエンドポイント保護を強化しています。その代表的な例が、DarktraceとCrowdStrikeのソリューションです。
Darktraceは、自己学習型AIを基盤とした「Enterprise Immune System」を提供しており、ネットワーク内の異常な挙動をリアルタイムで検知します。未知の脅威に対しても迅速に対応できるこのシステムは、AIがネットワークの通常の動きを学習し、異常が発生した際には即座にアラートを発信します。これにより、従来型のセキュリティでは検知が難しい内部の不正行為にも対応することが可能です。
一方、CrowdStrikeのFalconプラットフォームは、クラウドベースでのエンドポイント保護を提供しています。このプラットフォームは、エンドポイントから得られる膨大なデータをリアルタイムで分析し、異常な行動を検知すると同時に自動で対策を実行します。特に、AIを活用した脅威ハンティングにより、攻撃の初期段階で検知することができ、被害を未然に防ぐ効果が期待されています。
こうしたAI駆動型のセキュリティソリューションは、ゼロトラストセキュリティモデルと併用されることが多く、信頼を前提としないセキュリティ体制を構築することで、より強固な防御を実現します。これにより、企業は内部脅威やサプライチェーンを経由した攻撃に対しても迅速かつ効果的に対応できる体制を整えています。
DarktraceとCrowdStrikeの事例は、日本企業にとっても大いに参考になるポイントを提供しています。これらのソリューションを導入することで、より高度なセキュリティ対応を目指し、サイバー攻撃の脅威から企業資産を守ることが可能となります。
ゼロトラストセキュリティの重要性と導入事例
ゼロトラストセキュリティは、「信頼しないこと」を前提とするセキュリティモデルで、ネットワーク内外のすべてのアクセスを検証します。2025年に向けて、このモデルの採用が急速に進んでおり、多くの企業がゼロトラストをサイバーセキュリティ戦略の中核に据えています。特に、マイクロセグメンテーションと呼ばれる技術が注目されており、ネットワークを細分化して攻撃者の横移動を防ぎます。
Googleは、ゼロトラストアプローチを早期から採用した企業の一例です。同社の「BeyondCorp」モデルは、社内外からのアクセスすべてに対して同様のセキュリティ基準を適用し、ユーザーとデバイスの認証を徹底しています。これにより、リモートワークの拡大に伴うセキュリティリスクを最小限に抑えることが可能となっています。
また、OktaやPing IdentityなどのID管理ソリューションは、ゼロトラストの概念を具体化するツールとして、多要素認証(MFA)やシングルサインオン(SSO)を提供しています。これらのツールを活用することで、企業はユーザー認証の精度を高め、セキュリティレベルを強化できます。特に、認証を強化することにより、不正アクセスやデータ漏洩のリスクを大幅に軽減できる点が評価されています。
ゼロトラストセキュリティの導入は、従来の境界型セキュリティの限界を補うもので、ネットワークの内部で発生する潜在的な脅威にも対応可能です。これにより、企業は外部からの攻撃だけでなく、内部からの不正行為にも対応できる体制を築くことができます。
生成AI(GenAI)による新たなサイバー攻撃の脅威
生成AI(GenAI)の進化により、サイバー攻撃の手法が高度化しています。攻撃者は、生成AIを使って巧妙にカスタマイズされたフィッシングメールやマルウェアを作成し、ターゲットの注意を逸らす攻撃を行っています。特に、個々のユーザーに合わせたパーソナライズドメッセージは、従来のフィルタリング技術をすり抜けるケースが増加しています。
OpenAIの生成技術や、Google DeepMindの自然言語処理(NLP)を活用した手法が進化する中、サイバー犯罪者はこれらの技術を悪用して人間に近い応答を生成し、フィッシング攻撃の成功率を高めています。このような高度な攻撃には、AIを活用したセキュリティ対策が求められます。
企業は、AIによる脅威に対応するため、IBM Security QRadar Advisor with WatsonなどのAI駆動型ソリューションを導入しています。このツールは、攻撃パターンを分析し、脅威の優先順位を自動で評価することで、セキュリティ担当者の負担を軽減します。また、CrowdStrikeのFalconプラットフォームは、リアルタイムでの脅威検知を行い、攻撃の兆候をいち早く察知する機能を持っています。
生成AIによるサイバー攻撃は、国家支援型攻撃においても利用されることがあり、その脅威はグローバルな規模で増加しています。これに対し、AIを活用した自動防御システムの導入が、企業のセキュリティ戦略の中で重要な役割を担っています。
5GとIoTデバイスの普及によるセキュリティリスクと対策
5Gネットワークの普及に伴い、IoTデバイスの数が急速に増加しています。これにより、サイバー攻撃のリスクも飛躍的に高まっています。5Gの特徴である「ネットワークスライシング」は、特定のアプリケーションごとに分離されたネットワークを提供する一方で、各スライスが攻撃の対象となる可能性も指摘されています。特に、攻撃者が1つのスライスに侵入すると、他のスライスへの横移動が懸念されます。
こうしたリスクに対して、Palo Alto NetworksのPrisma CloudやTrend MicroのCloud Oneは、クラウド環境全体のセキュリティを強化するソリューションを提供しています。これらのツールは、IoTデバイスからクラウドまでの一貫したセキュリティ監視を行い、潜在的な脅威をリアルタイムで検知することが可能です。また、IoTデバイスのセキュリティアップデートを自動化することで、最新の脆弱性にも迅速に対応できます。
さらに、5Gネットワークにおけるゼロトラストアプローチの導入も進んでいます。このアプローチは、ユーザーやデバイスの継続的な認証を行い、常に安全なアクセスを保証します。通信事業者やセキュリティ企業は、5Gの特性を活かした脅威インテリジェンスを活用して、サイバー攻撃の兆候を早期に検知する体制を整えています。
5GとIoTの普及は、企業の生産性を向上させる一方で、従来とは異なるセキュリティリスクをもたらします。これに対応するためには、ネットワーク全体の脆弱性管理やリアルタイムの監視体制を構築し、セキュリティの強化を図ることが求められます。
オープンソースソフトウェアの脆弱性とSBOMの役割
2025年に向けて、サプライチェーンセキュリティの強化において、オープンソースソフトウェア(OSS)の管理が大きな課題となっています。OSSの利用が増加する一方で、その脆弱性を悪用したサイバー攻撃が増えています。攻撃者は、OSSの改ざんや脆弱性を経由してサプライチェーン全体に影響を及ぼす手法を活用しており、Forresterのレポートでは、2025年には特定のOSSコンポーネントが国家安全保障上の理由から使用を制限される可能性があると予測されています。
この課題に対応するため、SBOM(Software Bill of Materials)の導入が注目されています。SBOMは、ソフトウェアに含まれる全てのコンポーネントを一覧化したもので、OSSの透明性を高める役割を果たします。これにより、脆弱性が発見された際に迅速に対応することが可能となり、セキュリティリスクを軽減することができます。多くの企業が、SBOMを用いたセキュリティポリシーを整備し、サプライチェーン全体でのリスク管理を強化しています。
さらに、MISP(Malware Information Sharing Platform)やTheHiveといったオープンソースのサイバーセキュリティ情報共有プラットフォームも、企業間での脅威インテリジェンスの共有に役立っています。これにより、OSSの脆弱性に関する情報を迅速に共有し、インシデント対応を効率化することができます。
オープンソースの活用は、開発の迅速化やコスト削減に大きく貢献しますが、同時にその脆弱性への迅速な対応が求められます。企業はSBOMの導入と情報共有体制の強化により、サプライチェーン全体のセキュリティを高めることが求められます。
日本企業が取るべき具体的なセキュリティ対策と法規制対応
2025年に向けて、日本企業はサイバーセキュリティ強化を一層求められています。特に経済産業省や総務省が策定したセキュリティガバナンス指針に従い、企業は内部のセキュリティ体制を整備する必要があります。この指針では、企業に対して定期的なセキュリティ監査と報告が義務付けられており、セキュリティポリシーの見直しが急務となっています。
具体的な対策として、CSIRT(Computer Security Incident Response Team)の設置が推奨されています。CSIRTは、サイバー攻撃の発生時に迅速な対応を行う専門チームで、インシデント発生時の被害を最小限に抑える役割を担います。また、SOC(Security Operation Center)による24時間体制の監視も重要です。SOCは、ネットワークの異常をリアルタイムで監視し、攻撃の兆候を早期に察知することで、迅速な対処を可能にします。
さらに、個人情報保護法の改正も大きな影響を及ぼします。GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)など、国際的な規制と同様の対応が求められる中、企業は個人データの保護を強化しなければなりません。違反時には厳しい罰則が課されるため、コンプライアンス遵守が必須です。
また、Tenable.ioやQualysといった脆弱性管理ツールを利用し、システムやソフトウェアの定期的な脆弱性診断を行うことが推奨されています。これにより、最新の脅威にも対応できる体制を整え、セキュリティリスクを低減します。企業が法規制に対応しつつ、信頼性の高いセキュリティ基盤を構築することが求められます。
2025年以降に向けた持続可能なサプライチェーンセキュリティ戦略
2025年以降、サプライチェーン全体のセキュリティを持続可能に強化することが、企業の競争力に直結します。特に、サプライチェーンを構成する複数の企業間での連携が重要であり、各企業が同じセキュリティ基準を共有することが求められます。このため、ISO 27001やNISTサイバーセキュリティフレームワークなどの国際基準に沿ったセキュリティ管理が推進されています。
企業は、Software Bill of Materials(SBOM)を活用してサプライチェーンの透明性を高め、使用しているソフトウェアコンポーネントを詳細に把握することが重要です。これにより、脆弱性が発見された場合に迅速に対応でき、サプライチェーン全体のリスクを低減します。また、MISP(Malware Information Sharing Platform)を利用した脅威インテリジェンスの共有が、企業間でのセキュリティ情報の連携を強化します。
また、クラウドサービスの活用が進む中で、Amazon Web Services(AWS)やMicrosoft Azureが提供するクラウドセキュリティ機能を有効に活用することも求められます。これにより、クラウド上のデータやアプリケーションを保護し、サプライチェーン全体の安全性を確保します。さらに、5Gの普及に伴い、ゼロトラストを基本としたアクセス管理を強化することで、リモート環境でも安全な通信が可能になります。
このように、各種ソリューションや国際基準の採用を通じて、サプライチェーン全体でのセキュリティレベルを均一化し、持続可能なセキュリティ体制を構築することが、長期的なビジネス成長の鍵となります。